다크트레이스가 개발한 머신러닝 기반의 이상징후 탐지 시스템 살펴보니

[보안뉴스 정영희 기자] 다크트레이스가 주도하고 있는 사이버 면역 시스템은 인간의 면역체계의 특징을 기반으로 한 생체모방 기술이다. 우리 몸의 면역체계가 자신과 외부를 구분하고, 자신의 특이한 부분과 일반적인 부분을 학습하고, 이를 기억해 위협에 대응하는 것처럼 다크트레이스의 인공지능 기술도 원시패킷을 분석해 내부와 외부를 구분한다. 또한, 각 사용자/디바이스/네트워크의 일반성과 특이성을 찾아내어 기억하고, 이를 통해 위협에 대응할 수 있다.

이러한 능력은 지속적인 학습을 통해 진화하게 되는데, 이 부분에 있어 머신러닝 기술을 사용하고 있다. 인공지능과 머신러닝, 딥러닝 등 최근에 가장 인기있는 용어들이지만, 결국 사용하는 기반 기술의 차이가 있을 뿐 개념적으로 공통적인 특징을 뽑자면 데이터를 지식으로 바꿔주는 기술이라고 할 수 있다.

딥마인드의 알파고는 많은 기보를 학습해서 가장 완벽한 기보를 알려주는 것이고, 다크트레이스는 원시 로그에서 위협을 알려주는 기술이다. 다크트레이스는 비지도 학습을 기반으로 한다. 최근 비지도 학습 기반의 알파고 제로가 지도학습 기반의 알파고리(vs 이세돌)와 알파고 마스터(vs 커제)를 상대로 완승했던 사례를 통해 비지도 학습이 인간의 예측이 중요한 분야에서 꽤 유의미한 성과를 내고 있음을 알 수 있다. 보안의 경우도 인간의 지속적인 관찰에서 비정형화된 위협을 찾아내야 한다는 점에서 비지도 학습이 꽤 유의미한 분야다.

사이버 면역 시스템은 외부에서 어떠한 학습 데이터를 학습한 인텔리전스가 없이 실시간으로 흐르는 원시패킷을 보고, 이를 학습하기 시작한다. 외부로의 인터넷 연결이 없이도 이를 자율적으로 해낸다는 부분이 굉장히 강력한 장점이면서도, 기존에 머신러닝을 사용하는 다른 제품과 가장 큰 차이점이다.

이러한 특징은 1시간 이내에 모든 설치과정이 끝난 후 미러를 통해서 들어오는 트래픽을 영상과 자막을 통해서 3D 기반 게임하듯이 분석할 수 있도록 화면을 제공한다. 그 과정에서 어떠한 컨피그도 필요가 없다. 다크트레이스는 엔지니어들이 컨피그가 아니라 분석에 최선을 다할 수 있도록 한 솔루션이다.

다른 경계보안에서 걸러낸 트래픽을 분석해 API를 통해 공유하거나 SIEM과의 연동하거나 공식 어플리케이션을 통해 관리할 수 있는 툴을 제공한다.

알려지지 않은 위협을 탐지한다는 측면에서는 APT 솔루션, 모든 원시패킷을 본다는 부분에서는 포렌식과 유사해 보이지만, 사이버 면역 시스템은 악성코드가 없이 위협을 탐지하기 때문에 내부자에 의한 위협도 탐지할 수 있고, 사후에 위협을 돌아보는 것이 아니라 실시간으로 위협을 탐지한다는 측면에서 포렌식과는 근본적으로 다른 제품이라고 할 수 있다.

이러한 가운데 다크트레이스는 오는 5월 31일~6월 1일까지 코엑스 그랜드볼룸에서 개최되는 ‘2018 개인정보보호 페어(PIS FAIR 2018)’에 참가해 ‘머신러닝 기반의 사이버 면역 시스템’이란 제목으로 강연하고 시연할 예정이다.
[정영희 기자(boan6@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>